Was ist Informationssicherheit?
Wenn man von Informationssicherheit spricht, ist den meisten Menschen nicht bewusst, was dies eigentlich genau bedeutet und vor Allem was dies umfasst.
Hierbei ist es wichtig, dass man die vier Begriffe Datenschutz, Datensicherheit, IT-Sicherheit (IT-Security) und Informationssicherheit nicht durcheinander bringt, sondern klar trennt.
Schreiben Sie uns...
Informationssicherheit, IT-Sicherheit, Datensicherheit oder Datenschutz?
Informationssicherheit
Informationssicherheit ist ein Begriff, der vor Allem in den Grundschutzkatalogen des BSI oder auch in der ISO 27001 verwendet wird. Das Ziel hierbei ist, wie auch bei der Datensicherheit, der Schutz von Informationen vor Manipulation, Verlust oder unberechtigter Kenntnisnahme, allerdings sind die Regelungen der Informationssicherheit noch etwas umfassender, als die der Datensicherheit, weswegen Letzteres oft als ein Teil der Informationssicherheit gesehen wird.
IT-Sicherheit & IT-Security
Die IT-Sicherheit ist ebenfalls ein Punkt der Informationssicherheit, bezieht sich jedoch lediglich auf den Schutz von elektronisch gespeicherten Informationen oder von IT-Systemen. Hierunter versteht man allerdings nicht bloß den Schutz der Daten, sondern vor Allem auch die Zuverlässigkeit und Funktionssicherheit der Systeme.
Datensicherheit
Das Prinzip der Datensicherheit schützt, anders als der Datenschutz, nicht nur personenbezogene Daten, sondern umfasst die Sicherheit aller Daten, also etwa auch Firmen-, oder Verwaltungsdaten. Datensicherheit soll die Daten vor Manipulation, Verlust oder unberechtigter Kenntnisnahme schützen. Hierbei geht es also nicht um die Frage, unter welchen Bedingungen Daten erhoben werden dürfen, sondern hauptsächlich darum, wie der Schutz der erhobenen Daten realisiert wird. Im Bezug auf das BDSG (§9) wird unter Datensicherheit die Umsetzung technischer und organisatorischer Maßnahmen verstanden, die diesen Schutz gewährleisten.
Datenschutz
Beim Datenschutz geht es um den Schutz personenbezogener Daten und der grundsätzlichen Privatsphäre eines Menschen. Das Datenschutzgesetz garantiert das Recht auf informationelle Selbstbestimmung und schützt den Menschen vor Missbrauch dieser Daten. Hierbei greifen hauptsächlich die Regelungen des Bundesdatenschutzgesetz (BDSG), die sich überwiegend mit der Frage beschäftigen, unter welchen Bedingungen personenbezogene Daten überhaupt erhoben und verarbeitet werden dürfen. [mehr erfahren…]
Anforderungen an Informationssicherheit
Die Informationssicherheit wird nach den folgenden drei wichtigen Kriterien geprüft:
1. Verfügbarkeit
Mit Verfügbarkeit ist gemeint, dass ein berechtigter Nutzer zu jeder gewünschten Zeit Zugang zu einer Information oder Funktion eines IT-Systems hat. Um dieses Kriterium zu erfüllen, ist es also nicht ausreichend die Existenz einer Information zu gewährleisten, sie muss auch nutzbar sein.
Wer also einige Informationen bspw. auf einer CD speichert, aber ein berechtigter Nutzer nicht über ein CD-Laufwerk verfügt, sind die Daten zwar gesichert, erfüllen jedoch nicht das Kriterium der Verfügbarkeit.
2. Vertraulichkeit
Mit Vertraulichkeit ist gemeint, dass jegliche Information „geheim bleibt“, also nur den Nutzern zugänglich ist, die auch die Berechtigung dazu haben. Hierbei spielt auch der zeitliche Aspekt eine Rolle, ein Mitarbeiter darf nur Zugriff auf Unternehmensdaten haben, solange er auch in dem Unternehmen tätig ist.
Entscheidend sind hier Regelungen für die Zugangs- und Zugriffskontrolle.
3. Integrität
Mit Integrität ist gemeint, dass alle Informationen vollständig und richtig sein müssen, Veränderungen müssen ausgeschlossen werden, oder sollten zumindest nachvollzogen werden können. Wenn es nicht möglich ist, sie auszuschließen, kann sich ein Mangel an Verfügbarkeit ergeben, sollte die korrekte, unverfälschte Information nicht aus anderen Quellen (zB. einem BackUp) wieder beschafft werden können.
Häufig werden Prüfsummen eingesetzt, um die Integrität einer Information zu prüfen und zu rekonstruieren.
Technische Maßnahmen für Informationssicherheit
Diese Anforderungen müssen entweder durch technische Maßnahmen oder durch organisatorische Regelungen gewährleistet sein.
Meist werden hierzu Zutritts-, Zugriffs- und Zugangsbeschränkungen verwendet.
1. Zutrittsbeschränkungen
Mit Zutrittsbeschränkungen sind hierbei vor Allem räumliche Trennungen gemeint, also dass lediglich authorisierte Personen das Gebäude, Büro oder den Serverraum betreten können. Dies lässt sich meist leicht durch die Vergabe von Schlüsseln regeln.
2. Zugangsbeschränkungen
Zugangsbeschränkungen bezeichnen dabei die Beschränkungen zur Anmeldung, also dass sich nur die Personen an einem System anmelden können, die auch über einen Benutzer-Account, sowie das zugehörige Passwort verfügen.
3. Zugriffsbeschränkungen
Mit Zugriffsbeschränkungen sind vor Allem Regelungen zur Verwendung einzelner Verzeichnisse oder Dateien gemeint. Dies kann zum Beispiel durch eine Berechtigungsstruktur innerhalb der Active Directory erreicht werden.
Grundsätzlich muss keine dieser Beschränkungen durch eine technische Regelung erfolgen. Für viele Punkte ist dies jedoch zu empfehlen, weil es meist einfacher und vor Allem sicherer ist. Sollte es allerdings nicht möglich sein, die Anforderungen an die Informationssicherheit technisch zu erfüllen, MUSS stattdessen eine organisatorische Maßnahme erfolgen. Hierbei ist wichtig zu wissen, dass die Verantwortung trotzdem bei der Geschäftsführung verbleibt, wenn sich ein Mitarbeiter nicht an diese Regelungen hält.
Kostenfreier IT-Sicherheits Check
Mit dem IT-Sicherheits-Check überprüfen und schließen Sie in wenigen Minuten kritische IT-Sicherheitslecks in Ihrem Unternehmen.
Jetzt eintragen und kostenfrei anfordern!
Unvergleichbar besser qualifiziert!
Master of Business Transformation
Als Master of Business Transformation Management unterstützen wir Sie rechtzeitig zu identifizieren, welche Veränderungen (Transformationsprozesse) in Ihrem Unternehmen notwendig werden.
Business Transformation Management ist die Antwort der Vordenker, auf das Nachsehen des Change Managements.
Zertifizierte Datenschutzfachkräfte
Als zertifizierte Datenschutzfachkräfte analysieren und optimieren wir Ihre Arbeitsprozesse, so dass die IT-Strukturen Ihres Unternehmens die weitreichenden Vorgaben der EU Datenschutzgrundverordnung erfüllen.
Datenschutz ist mehr als ein notwendiges Pflichtthema. Er schützt die Menschen vor der eigenen Leichtsinnigkeit.
Information-Security Officer
Als zertifizierte Information-Security Officer planen und begleiten wir die Umsetzung von Sicherheitsrichtlinien und unterstützen bei der Vorbereitung von IT-Sicherheitsaudits nach offiziellen Normen, wie z.B. ISO-27001, VDA, …
Informationssicherheit ist das wahrscheinlich essenziellste Pflichtthema für jedes Unternehmen.
Marketing, Webdesign & SEO
Anders als Werbe- oder Internetagenturen ermitteln wir die Wachstumsziele Ihres Unternehmens. Wir führen online und offline Kommunikationswege in einer umfassenden Marketing Strategie zusammen.
Online-Marketing Analysen sind der einzig effiziente Weg alles über Ihre potentiellen Neukunden zu erfahren.